Facebook darf seinen Nutzern die Verwendung von Klarnamen zunächst weiterhin vorschreiben. Das soziale Netzwerk erhält vor dem VG Hamburg vorläufig Recht.
Mit Beschluss vom 3. März 2016 (15 E 4482/15) hat das VG Hamburg einem Eilantrag von Facebook Ireland Limited stattgegeben. Der Hamburger Datenschutzbeauftragte hatte gegenüber dem sozialen Netzwerk angeordnet, einer Nutzerin die Verwendung eines Pseudonyms als Nutzernamen zu gestatten und die sofortige Vollziehung des Bescheids angeordnet.
Das Gericht stellte die aufschiebende Wirkung von Facebooks Widerspruchs wieder her. Facebook darf seine Nutzer damit vorerst weiterhin zur Verwendung ihrer Klarnamen verpflichten. Im Ergebnis hatte sich das Gericht insbesondere mit den komplexen Fragestellungen des anwendbaren Rechts zu befassen.
Sperrung von Konten bei Pseudonymen oder Fantasienamen
Nach den Nutzungsbedingungen von Facebook besteht ein Klarnamenzwang. Die Nutzer des sozialen Netzwerkes müssen ihre richtigen Namen und Daten angeben und diese aktuell halten.
Viele Nutzer jedoch sind mit Pseudonymen oder Fantasienamen auf Facebook aktiv. Das Netzwerk hat daher schon vor einiger Zeit begonnen, Konten zu sperren, die offensichtlich unter unwahren Namen geführt werden. Zur Entsperrung des Kontos werden die betroffenen Nutzer aufgefordert, sich zu identifizieren. Oftmals wird dafür ein Lichtbild des Personalausweises verlangt.
Auch im zu Grunde liegenden Fall wurde das Konto einer Nutzerin auf Grund der Verwendung eines Pseudonyms gesperrt. Diese wandte sich daraufhin an den Hamburger Datenschutzbeauftragten.
Klarnamenzwang vs. Recht auf Pseudonymisierung
Nach dem deutschen § 13 Abs. 6 TMG hat ein Telemedienanbieter seinen Nutzern die Nutzung seines Dienstes anonym oder unter einem Pseudonym zu ermöglichen, wenn dies technisch möglich und ihm zumutbar ist. Die Verpflichtung zur Verwendung des Klarnamens ist damit in den meisten Fällen nach deutschem Recht rechtswidrig.
Die Besonderheit des Sachverhalts liegt jedoch in seinem grenzüberschreitenden Element. Die Daten deutscher Facebook Kunden werden nämlich nicht in Deutschland, sondern in Irland von der Facebook Inc. Tochter „Facebook Ireland Limited“ verarbeitet. Aus diesem Grund richtete sich die Anordnung des Datenschutzbeauftragten auch gegen die irische Tochter.
Facebook verfügt zwar auch über eine deutsche Niederlassung, die „Facebook Germany GmbH“, diese hat mit der Verarbeitung der Nutzerdaten allerdings nichts zu tun. Sie ist vielmehr für Marketing und die Anzeigenakquise von Facebook in Deutschland zuständig.
Die für das Gericht entscheidende Frage war damit, ob auf die Verarbeitung der deutschen Facebook-Nutzerdaten deutsches Datenschutzrecht – und damit auch § 13 Abs. 6 TMG – anzuwenden ist oder irisches Datenschutzrecht. Letzteres erlaubt die Klarnamenspflicht eines Telemediendienstes gegenüber seiner Nutzer.
Bekanntes Problem: § 13 Abs. 6 TMG auf Facebook Ireland anwendbar?
Im Jahr 2013 beschäftigten sich bereits das VG Schleswig (8 B 60/12 und 8 B 61/12) und das OVG Schleswig (4 MB 10/13 und 4 MB 11/13) mit der gleichen Frage. Auch hier ging es um Anordnungen des Unabhängigen Landeszentrums für Datenschutz gegenüber Facebook, Nutzern die Verwendung von Pseudonymen zu gestatten. Wie nun auch das VG Hamburg, gaben auch die Schleswig-Holsteinischen Gerichte Facebook im Eilverfahren Recht. Es gelte irisches Datenschutzrecht, ein Verbot der Klarnamenspflicht bestünde gegenüber Facebook daher nicht.
Mangels spezifischer telemedienrechtlicher Regelungen zogen die Richter die allgemeinen datenschutzrechtlichen Kollisionsvorschriften heran. Diese finden sich in Art. 4 der europäischen Datenschutzrichtlinie (RL 95/46/EG), die Deutschland in § 1 Abs. 5 BDSG umgesetzt hat. Art. 4 Abs. 1 lit. a RL 95/46/EG lautet:
Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. (…)
Entscheidend für die Anwendung des Datenschutzrechts eines Mitgliedstaates auf einen Datenverarbeitungsvorgang ist damit, dass
- eine Niederlassung in dem Mitgliedstaat vorhanden ist und
- diese Niederlassung die streitgegenständliche Datenverarbeitung tatsächlich durchführt.
Während die erste Voraussetzung für die deutsche Facebook-Tochter bejaht werden konnte, fehlte es an der zweiten Voraussetzung, der Datenverarbeitung durch Facebook Germany. Die streitige Datenverarbeitung von Facebook-Nutzerdaten findet vielmehr „im Rahmen der Tätigkeit“ der Facebook-Niederlassung in Irland statt.
Im Ergebnis nahmen die schleswig-holsteinischen Gerichte damit nach Art. 4 Abs. 1 lit. a RL 95/46 EG die Anwendbarkeit irischen Datenschutzrechts an und lehnten eine Geltung von § 13 Abs. 6 TMG auf den streitgegenständlichen Fall ab.
Neue Beurteilung der Rechtslage durch „Google-Spain“-Urteil des EuGH?
Warum erließ nun aber der Hamburger Datenschutzbeauftragte bei selbem Sachverhalt eine Anordnung, die von einem Oberverwaltungsgericht bereits gekippt wurde?
Hintergrund ist das sog. „Google Spain“-Urteil (C‑131/12), das der EuGH im Jahr 2014 erließ. In dem Vorlageverfahren ging es um eine Anordnung der spanischen Aufsichtsbehörde gegen das US-Unternehmen Google Inc. und seine spanische Tochter Google Spain SL auf Löschung von Suchergebnissen über einen spanischen Staatsangehörigen auf der Grundlage europäischen Rechts.
Ähnlich wie im Fall Facebook Ireland/Facebook Germany, war die in den USA ansässige Google Inc. als Betreiberin der Suchmaschine für die Verarbeitung personenbezogener Daten verantwortlich, während ihre spanische Tochter Google Spain SL lediglich für Marketing und Anzeigenakquise in Spanien zuständig war. Die Voraussetzungen des Art. 4 Abs. 1 lit. a RL 95/46/EG Datenschutzrichtlinie lagen damit eigentlich nicht vor. Es gab zwar eine Google-Niederlassung in Spanien, aber diese war nicht für die Datenverarbeitung verantwortlich. Der Verantwortliche befand sich vielmehr im Drittland USA. Auf die Datenverarbeitung der Suchmaschine hätte demnach eigentlich kein europäisches Recht Anwendung finden können.
Der EuGH legte in seinem Urteil Art. 4 Abs. 1 lit. a RL 95/46/EG allerdings unerwartet weit aus. Er führte in seiner Entscheidung aus, dass eine Datenverarbeitung „im Rahmen der Tätigkeit einer Niederlassung“ gerade nicht bedeute, dass die Verarbeitung „durch″ die Niederlassung erfolgen müsse. Die Voraussetzungen seien vielmehr schon dann erfüllt, wenn die Niederlassung in dem Mitgliedstaat für den Verkauf der Anzeigeflächen, mit denen die Suchmaschine rentabel gemacht werde, zu sorgen habe.
In diesem Fall sei die Datenverarbeitung durch den Suchmaschinenbetreiber und die Werbetätigkeit der Niederlassung im Mitgliedstaat wirtschaftlich untrennbar miteinander verbunden. Dies rechtfertige die Anwendung europäischen Datenschutzrechts auf die Datenverarbeitung im Drittland. Im Ergebnis wurde damit auf Grund der Akquise- und Werbetätigkeit von Google Spain SL europäisches Datenschutzrecht auf das US-Unternehmen Google Inc. angewandt.
VG Hamburg lehnt weite Auslegung des EuGH auf innergemeinschaftliche Konflikte ab
Wer nun erwartet hatte, das VG Hamburg würde von der Rechtsprechung des VG und OVG Schleswig abweichen und über die Akquisetätigkeit von Facebook Germany in Deutschland deutsches Datenschutzrecht und damit § 13 Abs. 6 TMG zur Anwendung bringen, wurde eines Besseren belehrt.
Das VG Hamburg lehnte die Anwendung der weiten Auslegung des EuGH auf den zu Grunde liegenden Sachverhalt ab. Die Rechtslagen seien nicht vergleichbar.
Im „Google Spain“-Verfahren sei es um die Anwendung europäischen Rechts auf einen Datenverarbeiter in einem Drittstaat gegangen. Es sei zu befürchten gewesen, die Daten betroffener Unionsbürger würden entgegen den Standards europäischen Datenschutzrechts verarbeitet. Dies hätte die praktische Wirksamkeit der Richtlinie und den umfassenden Schutz der Grundrechte der Betroffenen eingeschränkt. Eine weite Auslegung sei daher angemessen gewesen.
Dies sei im vorliegenden Fall anders, da es um die Konkurrenz zweier Rechtsordnungen (der deutschen und irischen) gehe, die beide durch die europäische Datenschutzrichtlinie harmonisiert seien. Es sei demnach nicht zu befürchten, dass den betroffenen Nutzern der Schutz der Richtlinie versagt werde. Im Falle der Konkurrenz der Datenschutzrechte verschiedener Mitgliedsstaaten sei nach Ansicht des VG Hamburg daher eine enge Auslegung des Art. 4 Abs. 1 lit. a RL 95/46/EG vorzunehmen. Es sei das Recht des Staates anzuwenden,
in dem sich diejenige Niederlassung befindet, mit deren Tätigkeit die streitige Datenverarbeitung am engsten verbunden ist.
Dies sei bei der Datenverarbeitung von Facebook-Nutzerdaten eindeutig die irische Niederlassung. Im Ergebnis sei damit irisches Recht anwendbar.
Folge: Weiterhin bestehende Unsicherheiten für Datenverarbeiter und Nutzer
Die enge Auslegung der Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ durch das VG Hamburg dürfte viele überrascht haben.
Dies gilt insbesondere vor dem Hintergrund, dass der EuGH erst kürzlich in einem Vorlageverfahren betreffend die Konkurrenz von ungarischem und slowakischem Datenschutzrecht (d.h. in einem innergemeinschaftlichen Konfliktfall) ebenfalls zu einer weiten Auslegung des Art. 4 Abs. 1 lit. a) DS-RL tendiert hat (Urt. v. 1.10.2015, C-230/14 –Weltimmo). Auch die Art. 29-Datenschutzgruppe, das unabhängige Beratungsgremium der EU-Kommission, hält in ihrer Stellungahme zum „Google-Spain“-Urteil die weite Auslegung des EuGH auch auf innergemeinschaftliche Konflikte für anwendbar.
Im Ergebnis wird es nach dem Beschluss des VG Hamburg daher in Fällen grenzüberschreitenden Datenverkehrs bei der Rechtsunsicherheit für Datenverarbeiter und für die Betroffenen bleiben. Dass die Frage des anwendbaren Rechts trotz Harmonisierung der Datenschutzrechte in Europa für die Beteiligten von Relevanz ist, zeigt die unterschiedliche nationale Handhabung der Klarnamenspflicht beispielhaft.
Der Hamburger Datenschutzbeauftragte hat bereits angekündigt, rechtliche Schritte gegen den Beschluss zu prüfen. Sollte Beschwerde eingelegt werden, darf mit Spannung die Entscheidung des Oberverwaltungsgerichts erwartet werden.
Mehr Rechtssicherheit dürfte auch durch die kürzlich erfolgte Vorlage des BVerwG an den EuGH im Verfahren „Facebook-Fanpages“ zu erwarten sein (Beschl. v. 25. Februar 2016 – I C 28.14). Die Vorlagefragen befassen sich u.a. mit der Aufgabenverteilung zwischen Facebook Irland und Facebook Germany und der sich daraus ergebenden Folgen für das das anwendbare Recht und der Zuständigkeit der Aufsichtsbehörden.
Das Problem der Konkurrenz verschiedener europäischer Datenschutzrechte dürfte aber spätestens im Frühjahr 2018 an Relevanz verlieren, wenn Europa mit der Datenschutzgrundverordnung ein weitgehend einheitliches Datenschutzrecht in allen Mitgliedstaaten erhält.